セキュリティグループの設定

概要

PORTERSでは、セキュリティグループを作成し、グループ毎にアクセス可能な(もしくは不可能な)機能を定義する事ができます。

セキュリティグループは複数作成でき、ユーザー単位、部署単位でメンバーを所属させることが可能です。

例えば、あるユーザーが所属するグループにおいて、エクスポート機能へのアクセスを禁止していた場合、該当ユーザーがエクスポート機能にアクセスを試みると、「アクセス権限がありません」というメッセージが表示され、エクスポートを行う事ができません。これにより、情報漏えいのリスクを減らすことができます。

 

※セキュリティグループは、項目ごとのアクセス権限設定においても、権限の有無を指定する単位として機能します。

ユーザータイプ(システム管理者/標準ユーザー)によるアクセス権限とは異なります。

 

____________.png

 

設定方法 

セキュリティグループを設定するには、PORTERS画面右上の設定(歯車アイコン)から「セキュリティグループ」を選択します。

196.png

 

初期の状態(独自のセキュリティグループを設定していない場合)では、画面左側のグループ一覧には「Users」というグループのみが存在します。

既にグループを作成している場合は、グループ名が一覧で表示されます。並び順はグループ名順です。

 

初期の状態で存在する「Users」グループは、独自の特徴を備えています。下記の通りです。

  • 削除できません。
  • グループ名が、初期値では「users」となっています。(変更可能ですが、お勧めいたしません)
  • 新規追加した直後のユーザーは、このグループに所属します。
  • メニュー権限において、初期値では、すべての機能に「許可」のみにチェック有の状態です。
     (カスタマイズにて、新たに作成したメニューも「許可」のみにチェック有の状態となります)

 

独自のセキュリティグループを作成したい場合、下記の手順で設定します。

  1. グループを新規作成
  2. 作成したグループにユーザーを所属させる
  3. 作成したグループのメニュー権限設定を行う
  4. 「Users」グループから2で選択したユーザーの所属を外す

※作成済みのグループに対して変更したい場合も、各設定部分の操作方法は同じです。 

 

 

■1.グループを新規作成

画面左側グループ一覧の上部の「新規」ボタンをクリックし、グループ名を入力して保存します。

 

独自に作成したグループは削除することが可能です。

 

 

■2.作成したグループにユーザーを所属させる

画面上部の「ユーザー設定」タブ、またはグループ一覧の該当グループ名右側にある人型アイコンをクリックします。

 

設定画面内の左側で部署またはユーザーを検索し、所属させたい部署またはユーザーをクリックするとチェックが入ります。

チェックが入った状態で真ん中の「>」ボタンをクリックすると設定画面内右側の「部署/ユーザー一覧」に移動します。

全て設定できたら「保存」ボタンを忘れず押してください。

※部署単位で設定を行いたい場合、事前に「ユーザー部署」で部署を作成し、各ユーザー情報編集画面で部署名の設定をしておく必要があります。

 

 

■3.作成したグループのメニュー権限設定を行う

画面上部の「メニュー権限設定」タブ、またはグループ一覧の該当グループ名右側にある鍵アイコンをクリックします。

 

例えば、「閲覧のみ」のグループを作成したい場合は、「検索/一覧」と「詳細」のみ「許可」にチェックし、それ以外は「禁止」にチェックして保存します。

 

権限設定は、リソース単位で行うことができます。

「企業」の「検索/一覧」を許可にし、企業担当者の「検索/一覧」を禁止に設定することも可能です。

同一リソースで複数のグローバルメニューが存在していた場合、デフォルトのグローバルメニューにて権限設定が可能です。

デフォルト以外のグローバルメニューでは、グレーアウトして該当項目からは変更できないようになっています。

また、サブリストの設定はメインメニューの権限設定に依存するため、グレーアウトして該当項目からは変更できないようになっています。

グレーアウトしている箇所については、カーソルを当てることで、どこの権限設定に準じているのか確認が可能です。

 

 

■4.「Users」グループから2で選択したユーザーの所属を外す

1人のユーザーは複数のグループに所属することが可能です。(その場合の許可/禁止の判定基準については、後述の「複数グループへの所属」にてお確かめください。)

新しくグループを作成し、ユーザーを所属させた場合でも、自動的に他のグループの所属から外れるわけではありません。

シンプルに管理したい場合は、1人1グループとして設定するために「Users」グループから該当ユーザーの所属を外す必要があります。

画面左側のグループ一覧で、「Users」の右側の人型アイコンをクリックします。

 

2で設定したユーザーを設定画面右側の「部署/ユーザー一覧」から探し、ユーザー名右側の「×」ボタンをクリックすると一覧から外れます。

外す必要があるユーザーを全て一覧から外したら「保存」ボタンをクリックしてください。

 

注意事項・お勧めの運用方法

■許可/禁止の判定基準
メニュー権限設定の許可/禁止のチェックボックスは、「禁止」のチェックが最優先されます。両方チェックを入れたり、両方チェックを外したりすることもできますが、「許可」にのみチェックが入っている場合に、該当機能へアクセス可能と判定されます。以下の通りです。

 ①「許可」のみにチェック: 許可 と判定
 ②「禁止」のみにチェック: 禁止 と判定
 ③ 両方にチェック    : 禁止 と判定
 ④ 両方ともチェックしない: 禁止 と判定(※例外あり)

 

※ユーザーが複数のセキュリティグループに所属していた場合は、④について例外が生じます。あるグループで④の設定となっていたとしても、他のグループで「禁止」のチェックが入っておらず、いずれかのグループで「許可」にチェックが入っていた場合は、アクセス可能=「許可」と判定されます。



■複数グループへの所属

複数のセキュリティグループに所属しているユーザーの場合、
どのグループでも「許可」のチェックが入っていない機能や、いずれかのグループで「禁止」のチェックが入っている機能には、アクセスできません
どのグループでも「禁止」にチェックが入っておらず、なおかつ、いずれかのグループで「許可」にチェックが入っている場合のみ、該当の機能にアクセスできます

 

■ユーザーを新規追加した場合

新規追加した直後のユーザーは、初期状態で存在するグループ「users」に所属した状態となっている点にご留意ください。

 

■カスタマイズを行った場合

グローバルメニューや、アクションメニューのカスタマイズを行った直後は、注意が必要です。新たに作成したメニューへのアクセス可否について、各グループの権限設定を見直してください。
(初期状態で存在するセキュリティグループ「users」においては、初期値で「許可」のみチェックが入った状態となりますが、独自に作成されたグループにおいては、初期値で「許可」にも「禁止」にもチェックが入っていない状態となります。)

 

■「users」の見分け方

初期状態で存在するセキュリティグループ「users」が見当たらない場合は、グループ名を変更して運用している可能性にご留意ください。「このグループを削除する」ボタンがグレーアウトしているグループが、初期状態で存在するグループ「users」に該当します。

 

 

■お勧めの運用方法

状況把握がし易い、シンプルな管理体制にする意味で有用とみられる、お勧めの運用方法を2つご紹介します。
 
前述の通り、初期状態で存在するセキュリティグループ「users」は、初期値では全ての機能について「許可」のチェックが入っており、新規追加直後のユーザーが予め所属している状態となっている、特徴があります。
それを踏まえた上で、ひとつ目の方法です。 
「users」については、所属ユーザーもメニュー権限設定も、手を加えずにそのままにしておきます。
その上で、アクセスを制限したいユーザーについては、別途セキュリティグループを作成し所属させつつ、そちらで制限したい機能についてのみ「禁止」のチェックを付ける。(「許可」のチェックは一切付けない)と、いう運用方法です。
この方法は、「禁止」にだけ着目し、運用する事ができる利点があります
 
ふたつ目は、各ユーザーの所属するグループ数を、常にひとつにしておく方法です。(この方法では、ユーザーの所属先のグループを変更したい時などに、変更前のグループから、ユーザーを除外し忘れてしまう事例が多くございます。ご留意ください。)

許可/禁止の判定例

よくあるご質問を元に、迷いを生じがちな設定例と、許可/禁止の判定例を 5つ ご紹介いたします。

 

■事例A
 ユーザー[A]の場合
   └ セキュリティグループ 「Group1」にのみ所属。
 
  「Group1」 の メニュー権限設定
   └ アクション1(仮): 〆許可 / 〆禁止 
 
 → ユーザー[A]は、
   アクション1(仮)機能へアクセス 不可 となる。
 
 ※「許可」と「禁止」両方にチェックが入っている場合は、
  「禁止」 と判定されます。
 
 

 

■事例B
 ユーザー[B]の場合
   └ セキュリティグループ 「users」と「Group2」に所属。
 
 「users」 の メニュー権限設定
   └ アクション2(仮): 〆許可 / □禁止 
 
 「Group2」 の メニュー権限設定
   └ アクション2(仮): □許可 / 〆禁止 
 
 → ユーザー[B]は、
   アクション2(仮)機能へアクセス 不可 となる。
 
 ※複数のセキュリティグループに所属している場合、
  いずれかのグループで「禁止」 チェックが入っている場合は、
  「禁止」 と判定されます。
 
 

 

■事例C
 ユーザー[C]の場合
   └ セキュリティグループ 「Group3」にのみ所属。
 
 「Group3」 の メニュー権限設定
   └ アクション3(仮): □許可 / □禁止 
 
 → ユーザー[C]は、
   アクション3(仮)機能へアクセス 不可 となる。
 
 ※所属しているすべてのセキュリティグループにて、
  「許可」「禁止」いずれのチェックも入っていない場合は、
  「禁止」 と判定されます。
  
 

 

■事例D
 ユーザー[D]の場合
   └ セキュリティグループ 「Group4」「Group5」に所属。
 
 「Group4」 の メニュー権限設定
   └ アクション4(仮): □許可 / □禁止 
 
 「Group5」 の メニュー権限設定
   └ アクション4(仮): 〆許可 / □禁止 
 
 → ユーザー[D]は、
   アクション4(仮)機能へアクセス 可能 となる。
 
 ※複数のセキュリティグループに所属している場合、
  どのグループでも「禁止」 にチェックが入っておらず。
  なおかつ、いずれかのグループで「許可」にチェックが入っている場合にのみ、
  「許可」 と判定されます。
  
 
■事例E
 ユーザー[E]の場合
   └ どのセキュリティグループ にも所属せず。
 
 → ユーザー[E]は、
   あらゆる画面/操作へのアクセスが 不可 となる。
 
 ※どのセキュリティグループにも所属しない場合は、
  すべての機能へのアクセスが「禁止」 と判定されます。
この記事は役に立ちましたか?
3人中1人がこの記事が役に立ったと言っています